SORVEPOTEL Malware
แคมเปญมัลแวร์ที่เคลื่อนไหวรวดเร็วชื่อ SORVEPOTEL กำลังใช้ประโยชน์จากความไว้วางใจที่ผู้คนมีต่อ WhatsApp เพื่อแพร่กระจายตัวเองไปทั่วระบบปฏิบัติการ Windows ซึ่งแตกต่างจากการโจมตีสมัยใหม่หลายๆ แบบที่สร้างขึ้นเพื่อการขโมยข้อมูลหรือแรนซัมแวร์ แคมเปญนี้ได้รับการปรับแต่งให้แพร่กระจายอย่างรวดเร็วและครอบคลุมวงกว้าง ซึ่งทำให้เป็นอันตรายอย่างยิ่งในบริบทขององค์กรที่เดสก์ท็อปที่ถูกบุกรุกเพียงเครื่องเดียวสามารถเพาะพันธุ์ไวรัสได้อีกมากมาย
สารบัญ
SORVEPOTEL คืออะไร
SORVEPOTEL เป็นมัลแวร์ตระกูล Windows ที่แพร่กระจายตัวเอง ซึ่งใช้ประโยชน์จากวิศวกรรมสังคมและ WhatsApp เวอร์ชันเดสก์ท็อป/เว็บ เพื่อกระจายไฟล์แนบที่เป็นอันตรายไปยังผู้ติดต่อและกลุ่มของเหยื่อ วัตถุประสงค์หลักของมัลแวร์นี้ดูเหมือนจะเป็นการแพร่กระจายอย่างรวดเร็วและการละเมิดบัญชี (ส่งผลให้เกิดสแปมและการแบนบัญชี) ไม่ใช่การขโมยข้อมูลหรือการเข้ารหัสไฟล์ทันที
เหยื่อถูกหลอกได้อย่างไร
ผู้โจมตีเริ่มต้นจากผู้ติดต่อ WhatsApp ที่ถูกบุกรุก หรือในบางกรณี อาจมาจากอีเมลที่ดูเหมือนถูกต้อง ข้อความดังกล่าวมีไฟล์ ZIP ที่ปลอมแปลงเป็นไฟล์ที่ไม่เป็นอันตราย (เช่น ใบเสร็จรับเงินหรือไฟล์แอปสุขภาพ) หากผู้รับเปิดไฟล์ ZIP บนเดสก์ท็อป ขั้นตอนต่อไปนี้มักจะเกิดขึ้น:
- เหยื่อถูกหลอกให้เปิดใช้ทางลัดของ Windows (LNK) ภายในไฟล์เก็บถาวร
- LNK จะรันคำสั่ง PowerShell แบบเงียบ ๆ ซึ่งจะดาวน์โหลดเพย์โหลดขั้นถัดไปจากโฮสต์ภายนอก (ตัวอย่างที่ระบุคือ sorvetenopoate.com)
เพย์โหลดที่เรียกค้นได้เป็นสคริปต์แบตช์ที่สร้างความคงอยู่และดำเนินการคำสั่งต่อไป
รายละเอียดการดำเนินการและกลไกการคงอยู่
เมื่อติดตั้งแล้ว สคริปต์แบบแบตช์จะคัดลอกตัวเองไปยังโฟลเดอร์เริ่มต้นระบบของ Windows เพื่อให้ทำงานโดยอัตโนมัติหลังจากบูตระบบ นอกจากนี้ยังเรียกใช้ PowerShell เพื่อติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) เพื่อขอคำแนะนำเพิ่มเติมหรือดึงส่วนประกอบเพิ่มเติม พฤติกรรมเหล่านี้ทำให้มัลแวร์ยังคงทำงานอยู่และยอมรับคำสั่งระยะไกลจากผู้ปฏิบัติการ
WhatsApp เป็นเครื่องมือในการแพร่กระจาย
คุณสมบัติหลักของ SORVEPOTEL คือระบบการแพร่กระจายที่รับรู้ถึง WhatsApp หากมัลแวร์ตรวจพบว่า WhatsApp Web (ไคลเอ็นต์เดสก์ท็อป/เว็บ) ทำงานอยู่บนเครื่องที่ติดไวรัส มันจะทำการกระจายไฟล์ ZIP อันตรายเดียวกันโดยอัตโนมัติไปยัง:
- ผู้ติดต่อทั้งหมดที่เชื่อมโยงกับบัญชีที่ถูกบุกรุกและ
- กลุ่มทั้งหมดที่บัญชีเป็นสมาชิกอยู่
การกระจายอัตโนมัตินี้ก่อให้เกิดปริมาณสแปมขาออกที่สูงมาก ซึ่งมักจะทำให้ WhatsApp ตรวจพบการละเมิดและนำไปสู่การระงับหรือแบนบัญชี
ขอบเขตและใครถูกโจมตี
จนถึงขณะนี้ การรณรงค์ยังคงเข้มข้นในบราซิล โดยผู้ติดเชื้อ 457 ราย จาก 477 รายที่บันทึกไว้ มีต้นกำเนิดจากบราซิล องค์กรที่ตกเป็นเป้าหมายครอบคลุมหลายภาคส่วน โดยเฉพาะอย่างยิ่ง:
- ภาครัฐและบริการสาธารณะ
- การผลิต
- เทคโนโลยี
- การศึกษา
- การก่อสร้าง
ที่น่าสังเกตคือ ผู้ปฏิบัติการดูเหมือนจะไม่ได้ใช้การเข้าถึงที่ได้มาเพื่อขโมยข้อมูลจำนวนมากหรือเพื่อใช้แรนซัมแวร์ ผลลัพธ์ที่สังเกตได้คือการแพร่กระจายอย่างก้าวร้าวและการใช้บัญชีในทางที่ผิด
เวกเตอร์การกระจายเพิ่มเติมที่สังเกตได้
แม้ว่าข้อความบน WhatsApp จะเป็นเส้นทางการแพร่กระจายหลัก แต่บรรดานักวิเคราะห์ก็พบหลักฐานว่าผู้โจมตียังเผยแพร่ไฟล์แนบ ZIP ที่เป็นอันตรายผ่านทางอีเมลด้วย โดยบางครั้งใช้ที่อยู่ผู้ส่งที่ดูเหมือนถูกต้องตามกฎหมายเพื่อเพิ่มความน่าเชื่อถือ
เหตุใดแคมเปญนี้จึงโดดเด่น
SORVEPOTEL แสดงให้เห็นถึงแนวโน้มที่ผู้โจมตีใช้ประโยชน์จากแพลตฟอร์มการสื่อสารหลักเพื่อเพิ่มจำนวนการเข้าถึงโดยมีการโต้ตอบกับผู้ใช้น้อยที่สุด ด้วยการนำผู้ติดต่อที่เชื่อถือได้มาใช้เป็นอาวุธและความสะดวกสบายของ WhatsApp Web มัลแวร์จึงสามารถแพร่กระจายข้ามองค์กรได้อย่างรวดเร็วโดยไม่จำเป็นต้องใช้ส่วนประกอบที่ซับซ้อนในการขโมยข้อมูล
หมายเหตุปิดท้าย
SORVEPOTEL เป็นเครื่องมือเตือนใจว่าแพลตฟอร์มโซเชียลเป็นช่องทางการแพร่กระจายมัลแวร์ที่น่าสนใจ การตรวจจับอย่างรวดเร็ว การให้ความรู้แก่ผู้ใช้ และการควบคุมที่จำกัดการทำงานของสคริปต์และการตรวจสอบไคลเอ็นต์การส่งข้อความบนเดสก์ท็อป จะช่วยลดพื้นที่การโจมตีที่แคมเปญนี้ใช้ประโยชน์ได้อย่างมาก
